在的黑帽大会中，谷歌研究员Tavis Ormandy批评了Sophos杀毒软件一些领域的欠缺导致其易受攻击或被病毒避开。其他杀毒软件厂商的产品也可能有此问题，只是目前还没发现。

    Ormandy声称其反向设计了该产品。此外，他还发现以下问题：

    1 用于加密数据的密钥是与数据一并存储，使之相对容易破译。

    2 其缓冲区溢出保护只能在Vista系统之前的Windows平台上运行。

    3 Sophos选用的以辨认病毒的数字签名非常脆弱，并且能够独立于Sophos产生，这可能使用户得到大量误报。

    就sophos而言，他们已经在Ormandy的批判之前，就与之进行了讨论。基于这些讨论，sophos也作出了相应调整。

    1 sophos正在逐步淘汰其脆弱的加密算法，该算法并未被用于加密产品中（从一开始也不是用于加密数据）。事实上，加密只是为了改变Sophos更新的代码，这样一旦发现真正的恶意软件模式，其他的安全产品就不会将Sopho的数据文件误认为是恶意文件了。

    2 sophos正在重新审视其脆弱的缓冲区溢出保护。由于Vista和之后的Windows操作系统自带了缓冲区溢出保护，sophos终止了其运作。

    sophos发言人Graham Cluely说道：“sophos考虑将Ormandy的批评作为编程审计的内容。”

    之前Cluely曾与Ormandy产生激烈冲突，因为Ormandy揭露了微软产品的一个漏洞，结果导致该漏洞在现实世界中被人利用。Cluely在博客中猛烈抨击了Ormandy。

    ormandy说，他对sophos反毒软件的分析和那次事件无关，他选择Sophos也是随性而为，因为Sophos容易获取到。其他杀毒软件也可能存在sophos相似的漏洞，只是不通过反向设计与全面分析不可能知道罢了。他说道：“我不会再做这些烦人的反向设计与分析了，我要做点儿有趣的事儿。”

    尽管ormandy任职谷歌，但他在业余时间独立完成了对sophos的研究。

    ormandy说道：“所有杀毒软件厂商的问题都出在：他们都不经过同行审查而秘密进行各自的工作，这就少了成为更坚实平台的重要一步。安全的基本原则是：先假定攻击者清楚你所有的防御措施，然后你加强防御，以此防止被攻破。公众审查可以帮助你发现缺点并进行修正，而不是任其成为漏洞。”

    “总体来讲，杀毒软件都是在病毒已经造成损害后才能将其发现，因而预防措施事实上更有效。杀毒软件太过复杂会增大终端用户机器被攻击的几率， 这会造成更多潜在的问题。”

    Cluely说道：“Ormandy的杀毒软件分析只检测了软件组件，而未从整体上分析软件的功用。他也未测试其终止恶意软件的能力，而只关心代码的质量。或许他是对的，我们可能应该做得更好。”

第三十八届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。